diff --git a/README.md b/README.md index 9bfc1d1..b716328 100644 --- a/README.md +++ b/README.md @@ -1,39 +1,52 @@ # RustyBlue -RustyBlue is a software ported from DeepBlueCLI in Rust language. We admire the DeepBlueCLI. +RustyBlue is a Rust implementation of Eric Conrad's DeepBlueCLI, a DFIR tool that detects various Windows attacks by analyzing event logs. It cannot take advantage of some of the PowerShell features to do remote investigations or use a GUI but it is very lightweight and fast so its main purpose is to be used on large event log files and to be a reference for writing more Windows event log analysis tools in Rust. + +DeepBlueCLI: https://github.com/sans-blue-team/DeepBlueCLI RustyBlueはDeepBlueCLIをRust言語で移植されたソフトです。私たちは、DeepBlueCLIを称賛しています。 ## Usage ````````````````````` --f --filepath=[FILEPATH] 'analyze event file' --d --dirpath=[DIRECTORYPATH] 'analyze event log files in directory' --c --credits 'print credits infomation' +Analyze one event log file: +-f or --filepath= + +Analyze event log files in a directory: +-d or --dirpath= + +Print credits: +-c or --credits ````````````````````` -## Usage Example +## Usage Examples -### Analysis one event log for specified path +### Analyzing one event log: -コンパイルされたバイナリを使用する場合、下記のようなコマンドで実行することができます。 +コンパイルされたバイナリを使用する場合、下記のようなコマンドで実行することができます: `````````` rusty_blue.exe --filepath=C:\Users\user\Downloads\security.evtx `````````` -### Analysis recusively all event logs in specified directory +### Analyzing recusively all event logs in specified directory: -コンパイルされたバイナリを使用する場合、下記のようなコマンドで実行することができます。 +コンパイルされたバイナリを使用する場合、下記のようなコマンドで実行することができます: `````````` -rusty_blue.exe --dirpath=C:\Users\user\Downloads +rusty_blue.exe --dirpath=C:\WindowsEventLogs `````````` -### Build from source code +### Building from source code: -以下コマンドでcloneしたソースコードからコンパイルすることができます。Rustのコンパイル環境をローカル環境に導入していることが条件です。 +You can compile the cloned source code with the following command. + +以下コマンドでcloneしたソースコードからコンパイルすることができます。Rustのコンパイル環境をローカル環境に導入していることが条件です: `````````` cargo build --release `````````` + +### RustyBlue v1.0 Binaries + +You can download the compiled binaries for Windows, Linux and MacOS here: https://github.com/Yamato-Security/RustyBlue/releases/tag/v1.0 diff --git a/credits.txt b/credits.txt index 4dce1bb..eec6355 100644 --- a/credits.txt +++ b/credits.txt @@ -1,13 +1,13 @@ -Zach Mathis (田中ザック)Yamato Security Yea! Project Leader -Nishikawa Akira (twitter:@nishikawaakira) Lead Developer -kazuminn (twitter:@k2warugaki) Developer -itiB (twitter:@itiB_S144) Developer -hachiyone (twitter:@hach1yone) Developer +Zach Mathis (田中ザック)(@yamatosecurity) Project Leader +Nishikawa Akira (twitter: @nishikawaakira) Lead Developer +kazuminn (twitter: @k2warugaki) Developer +itiB (twitter: @itiB_S144) Developer +hachiyone (twitter: @hach1yone) Developer DustInDark (Github: @hitenkoku) Developer -garigariganzy (twitter:@garigariganzy31) Developer +garigariganzy (twitter: @garigariganzy31) Developer 7itoh (twitter:@yNitocrypto22) Developer dai (twitter: @__da13__) Developer -siam(GitHun: @siamease) Developer +siam (GitHub: @siamease) Developer mimura (twitter: @mimura1133) Developer apt773 (twitter: @apt773) Rule testing and supporter TAKIZAWA Hiroki (twitter:@hr_zwtk) Rule testing and supporter diff --git a/src/detections/configs.rs b/src/detections/configs.rs index 1fd11f8..deebfee 100644 --- a/src/detections/configs.rs +++ b/src/detections/configs.rs @@ -79,7 +79,7 @@ fn build_app<'a>() -> ArgMatches<'a> { -c --credits 'print credits infomation'"; App::new(program) .about("RustyBlue") - .version("1.0.0") + .version("1.0.1") .author("YamatoSecurity ") .setting(AppSettings::VersionlessSubcommands) .usage(usagees)